RedDelta
RedDelta yra infosec bendruomenės suteiktas labai aktyvios APT (Advanced Persistent Threat) grupės pavadinimas. Yra tvirtų ryšių, leidžiančių manyti, kad „RedDelta“ yra Kinijos remiama grėsmių veikėja. Grupės tikslai beveik visada sutampa su Kinijos vyriausybės interesais. Viena iš naujausių grupuotei priskirtų puolimo kampanijų buvo pradėta prieš kelias su Katalikų bažnyčia susijusias organizacijas. Tarp aukų buvo Vatikanas ir Honkongo katalikų vyskupija. Taikiniai taip pat apėmė Honkongo studijų misiją Kinijoje ir Popiežiškąjį užsienio misijų institutą (PIME), Italiją. Abi organizacijos prieš šią operaciją nebuvo priskirtos prie Kinijos remiamų įsilaužėlių grupių interesų.
Kinijai suderintų APT grupių vykdomos operacijos labai sutampa, kai kalbama apie TTP (taktiką, metodus ir procedūras), kai reikia atskirti „RedDelta“ ir grupę, žinomą kaip „Mustang Panda“ (taip pat sekama kaip BRONZE PRESIDENT ir „HoneyMyte“). , ypač. Tačiau mokslininkai rado pakankamai skiriamųjų savybių, kad šias atakų serijas būtų galima labai pasitikėti RedDelta. Unikalūs aspektai apima PlugX varianto su kitokiu konfigūracijos šifravimo metodu naudojimą, infekcijos grandinė nebuvo priskirta kitoms grupėms, o taikinių sąraše yra teisėsaugos ir vyriausybės subjektai iš Indijos bei Indonezijos vyriausybinė organizacija.
Atakos grandinė
Pritaikytas „PlugX“ naudingasis krovinys pristatomas į aukos mašiną jauko el. paštu, kuriame kaip priedas yra ginkluotas dokumentas. Vienos išpuolių metu viliojimo dokumentas buvo skirtas konkrečiai dabartiniam Honkongo studijų misijos Kinijoje vadovui. Labai tikslingas pobūdis rodo, kad RedDelta galėjo perimti oficialų Vatikano dokumentą, kuris vėliau buvo ginkluotas. Taip pat labai tikėtina, kad įsilaužėliai naudojo pažeistą „Vactica“ paskyrą norėdami išsiųsti viliojimo pranešimą. Tas pats „PlugX“ variantas taip pat buvo rastas dar dviejuose sukčiavimo masaluose. Šį kartą jauko dokumentai buvo tikros naujienų iš Katalikų Azijos naujienų sąjungos „Apie Kinijos planą dėl Honkongo saugumo law.doc“ ir kito su Vatikanu susijusio failo, pavadinto „QUM, IL VATICANO DELL'ISLAM.doc“, imitacija. '
Įdiegus „PlugX“ naudingoji apkrova sukuria ryšio kanalą su „Command-and-Control“ (C2, C&C) infrastruktūra, kuri buvo vienoda visoms stebimoms atakoms. C2 domenas buvo systeminfor[.]com adresu. Paskutinio etapo kenkėjiškų programų naudingieji kroviniai, pristatyti į pažeistas sistemas, yra nuotolinės prieigos Trojos arklys Poison Ivy ir Cobalt Strike. „RedDelta“ tikslas buvo pasiekti jautrią vidinę komunikaciją, taip pat stebėti ryšius tarp pasirinktų taikinių.
